Come può un AV rilevare un virus che ha la possibilità di non decifrare se stesso?

Question

Come può un AV rilevare un virus che ha la possibilità di non decifrare se stesso?

#1 da (4 voti)
#2 da (1 voti)

1

Se ho capito bene, esiste la possibilità che il virus non possa decodificarsi. Come potrebbe un AV prenderlo?

In some cases, the decryptor may start with a header whose intent is not immediately obvious upon reading it. Further study reveals that its purpose is to generate anti-emulation code on the fly: the virus constructs a small oligomorphic code snippet containing the instruction “ReaD Time Stamp Counter” (RDTSC). This retrieves the current value of an internal processor ticks counter. Then, based on one random bit of this value, the decryptor either decodes and executes the virus body or bypasses the decryption logic altogether and simply exits. 4

- Riscatto di Symantec sulla similitudine

encryption virus antivirus detection

posta Celeritas 10.08.2012 - 22:46

fonte

2 risposte

1

Alcuni sfondi:

Dicevano che alcuni virus erano "multiparte" o "compositi" in natura. Questa è ora la regola generale, piuttosto che l'eccezione. Tutto il codice di attacco richiede un metodo per attaccarsi o essere raccolto (erroneamente). Questa è la "fase di trasporto". Quindi il codice richiede la possibilità di vivere, il "punto di attacco". Una volta attivo, il codice cerca di "telefonare a casa" e (si spera) di scaricare più codice o aggiornamenti. Poi ci sono altri elementi che possono rimuovere la prova di registrazione, disabilitare le utilità AV o danneggiare (o eliminare) i dati e le applicazioni sulla destinazione ("l'host").

La mia risposta:

L'attività AV consiste nel rilevare qualsiasi codice o dati estranei quando arriva in modalità o . Ciò richiede una "firma" o una caratteristica unica che suggerisce un attacco (o semplicemente un comportamento malevolo). Tuttavia, il fatto che il carico utile (o altri elementi) sia ancora crittografato non dovrebbe influenzare questo metodo di rilevamento.

La crittografia probabilmente impedirà (o ostacolerà) qualsiasi tentativo di comprendere appieno tutte le funzionalità di qualsiasi attacco, le sue vere origini o una famiglia unica di attacco.

risposta data 11.08.2012 - 02:29

fonte

Leggi altre domande sui tag encryption virus antivirus detection

Logica per generare una password sicura? Sale globale vs sale-per-password [duplicato]

score 4 · Accepted Answer

Quello che l'articolo dice è che il virus contiene un sacco di codice specifico per sconfiggere l'anti-virus - sia il software AV stesso, e le tecniche di analisi utilizzate dagli sviluppatori AV per capire cosa il virus sì. Nello specifico paragrafo che citi, è quest'ultimo che viene discusso: il codice del virus altera il suo comportamento quando rileva che è in esecuzione in un emulatore.

Teoricamente, un virus può essere sempre sconfitto da un essere umano che segue il codice "a mano". Tuttavia, è faticoso e richiede un po 'di tempo. In pratica, le aziende AV non hanno mai vicino il tempo e le risorse per fare l'analisi manuale di ogni nuova marca di virus, motivo per cui devono fare affidamento su alcune tecniche semi-automatiche come gli emulatori. Questa è una battaglia persa a lungo termine ...

Rant obbligatorio: un virus informatico può esistere e sforzarsi solo a causa di difetti nella struttura o nell'implementazione di sistemi informatici - in particolare indulgendo nell'esecuzione di codice di dubbia provenienza. Un esempio di un sistema ben progettato in questo senso è una distribuzione Linux: i file eseguibili possono venire solo come pacchetti dai repository ufficiali e la provenienza è controllata con le firme. Non è "perfetto", ma la rarità dei virus nell'ecosistema Linux è suggestiva che facciano qualcosa di giusto a un certo punto. La migliore difesa contro i virus è quella di correggere i difetti. AV sono come un nuovo strato di vernice per nascondere le fessure.